[發(fā)明專(zhuān)利]一種黑客攻擊行為的檢測(cè)方法、系統(tǒng)及相關(guān)裝置有效

申請(qǐng)?zhí)枺?/td>	201810864609.1	申請(qǐng)日：	2018-08-01
公開(kāi)（公告）號(hào)：	CN110798425B	公開(kāi)（公告）日：	2022-08-09
發(fā)明（設(shè)計(jì)）人：	張斌	申請(qǐng)（專(zhuān)利權(quán)）人：	深信服科技股份有限公司
主分類(lèi)號(hào)：	H04L9/40	分類(lèi)號(hào)：	H04L9/40
代理公司：	深圳市深佳知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285	代理人：	王仲凱
地址：	518055 廣東省深圳市南***	國(guó)省代碼：	廣東;44
權(quán)利要求書(shū)：	查看更多	說(shuō)明書(shū)：	查看更多
摘要：
搜索關(guān)鍵詞：	一種黑客攻擊行為檢測(cè) 方法系統(tǒng) 相關(guān) 裝置
鉆瓜網(wǎng) 技術(shù)展會(huì) 專(zhuān)利詞庫(kù) 專(zhuān)利權(quán)人專(zhuān)利榜在售專(zhuān)利公布日期熱門(mén)專(zhuān)利

【權(quán)利要求書(shū)】：

1.一種黑客攻擊行為的檢測(cè)方法，其特征在于，包括：

利用檢測(cè)算法檢測(cè)目標(biāo)時(shí)間段內(nèi)的主機(jī)流量，判斷是否存在可疑行為；

若存在，則根據(jù)檢測(cè)到所述可疑行為的檢測(cè)算法對(duì)應(yīng)的危險(xiǎn)等級(jí)調(diào)整主機(jī)的威脅度；其中，所述危險(xiǎn)等級(jí)根據(jù)所述檢測(cè)算法的特征強(qiáng)度設(shè)置，所述特征強(qiáng)度越強(qiáng)的所述檢測(cè)算法對(duì)應(yīng)的所述危險(xiǎn)等級(jí)越高；

判斷所述威脅度是否大于預(yù)設(shè)值；若大于，則生成關(guān)于檢測(cè)到黑客攻擊行為的安全報(bào)警信息；

若不大于所述預(yù)設(shè)值，則根據(jù)所述威脅度調(diào)整所述檢測(cè)算法的參數(shù)，并利用調(diào)整參數(shù)后的檢測(cè)算法檢測(cè)所述目標(biāo)時(shí)間段之后的主機(jī)流量中的所述可疑行為，以便調(diào)整所述威脅度。

2.根據(jù)權(quán)利要求1所述檢測(cè)方法，其特征在于，利用所述檢測(cè)算法檢測(cè)目標(biāo)時(shí)間段內(nèi)的所述主機(jī)流量，判斷是否存在所述可疑行為包括：

利用所述檢測(cè)算法檢測(cè)目標(biāo)時(shí)刻的主機(jī)流量，判斷是否存在第一可疑行為；其中，所述目標(biāo)時(shí)刻為所述目標(biāo)時(shí)間段內(nèi)的時(shí)刻；

若存在，則根據(jù)檢測(cè)到所述第一可疑行為的檢測(cè)算法對(duì)應(yīng)的危險(xiǎn)等級(jí)調(diào)整所述威脅度；

判斷所述威脅度是否大于所述預(yù)設(shè)值；

若否，則讀取所述目標(biāo)時(shí)間段內(nèi)的主機(jī)流量，根據(jù)所述威脅度調(diào)整所述檢測(cè)算法的參數(shù)，并利用調(diào)整參數(shù)后的檢測(cè)算法檢測(cè)所述目標(biāo)時(shí)間段內(nèi)的主機(jī)流量中是否存在第二可疑行為；其中，所述可疑行為包括所述第一可疑行為和第二可疑行為。

3.根據(jù)權(quán)利要求1或2所述檢測(cè)方法，其特征在于，在生成關(guān)于檢測(cè)到黑客攻擊行為的安全報(bào)警信息之后，還包括：

查找執(zhí)行所述可疑行為的第一風(fēng)險(xiǎn)主機(jī)和被執(zhí)行所述可疑行為的第二風(fēng)險(xiǎn)主機(jī)，生成風(fēng)險(xiǎn)主機(jī)關(guān)系圖。

4.根據(jù)權(quán)利要求3所述檢測(cè)方法，其特征在于，還包括：

根據(jù)所述第一風(fēng)險(xiǎn)主機(jī)和所述第二風(fēng)險(xiǎn)主機(jī)生成失陷主機(jī)列表。

5.根據(jù)權(quán)利要求3所述檢測(cè)方法，其特征在于，還包括：

當(dāng)檢測(cè)到所述可疑行為時(shí)，生成與所述可疑行為對(duì)應(yīng)的安全事件；

按照所述安全事件的發(fā)生順序和所述風(fēng)險(xiǎn)主機(jī)關(guān)系圖生成主機(jī)失陷過(guò)程圖。

6.根據(jù)權(quán)利要求4所述檢測(cè)方法，其特征在于，還包括：

根據(jù)所述失陷主機(jī)列表對(duì)失陷主機(jī)向外發(fā)送的數(shù)據(jù)進(jìn)行阻斷操作和隔離操作。

7.一種黑客攻擊行為的檢測(cè)系統(tǒng)，其特征在于，包括：

威脅度確定模塊，用于利用檢測(cè)算法檢測(cè)主機(jī)流量中的可疑行為，并根據(jù)檢測(cè)到所述可疑行為的檢測(cè)算法的危險(xiǎn)等級(jí)調(diào)整主機(jī)的威脅度；其中，所述危險(xiǎn)等級(jí)根據(jù)所述檢測(cè)算法的特征強(qiáng)度設(shè)置，所述特征強(qiáng)度越強(qiáng)的所述檢測(cè)算法對(duì)應(yīng)的所述危險(xiǎn)等級(jí)越高；

報(bào)警模塊，用于判斷所述威脅度是否大于預(yù)設(shè)值；若大于，則生成關(guān)于檢測(cè)到黑客攻擊行為的安全報(bào)警信息；

其中，所述威脅度確定模塊包括：

歷史流量檢測(cè)子模塊，用于利用所述檢測(cè)算法檢測(cè)目標(biāo)時(shí)間段內(nèi)的主機(jī)流量，判斷是否存在所述可疑行為；

第一威脅度調(diào)整子模塊，用于當(dāng)存在所述可疑行為時(shí)，根據(jù)檢測(cè)到所述可疑行為的檢測(cè)算法對(duì)應(yīng)的危險(xiǎn)等級(jí)調(diào)整所述威脅度；

第一判斷子模塊，用于判斷所述威脅度是否大于所述預(yù)設(shè)值；

第二威脅度調(diào)整子模塊，用于當(dāng)所述威脅度小于或等于所述預(yù)設(shè)值時(shí)，根據(jù)所述威脅度調(diào)整所述檢測(cè)算法的參數(shù)，并利用調(diào)整參數(shù)后的檢測(cè)算法檢測(cè)所述目標(biāo)時(shí)間段之后的主機(jī)流量中的所述可疑行為，以便調(diào)整所述威脅度。

下載完整專(zhuān)利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專(zhuān)利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專(zhuān)利權(quán)人授權(quán)。該專(zhuān)利全部權(quán)利屬于深信服科技股份有限公司，未經(jīng)深信服科技股份有限公司許可，擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專(zhuān)利、獲得商業(yè)授權(quán)和技術(shù)合作，請(qǐng)聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201810864609.1/1.html，轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專(zhuān)利網(wǎng)。